Neues Datenschutzabkommen EU/USA: Google & Co wieder erlaubt? (NL20 /23)

Vorsicht vor dem „Neuen Datenschutzabkommen zwischen EU und USA“.
DSGVO: Sind Google & Co künftig doch wieder erlaubt?
Nein. Wahrscheinlich nicht. Datenschützer prüft bereits die 3. Klage!

Diese Woche gab die EU-Kommission bekannt, dass man ein neues Datenschutzabkommen zwischen EU und USA abgeschlossen habe. Die USA würden nun ein angemessenes Schutzniveau für personenbezogene Daten, die aus der EU an Unternehmen in Amerika übermittelt würden, gewährleisten.“

Liest man die Pressemeldung der Europäischen Kommission (Link am Ende des Beitrags), kann man verstehen, warum Datenschützer schon wieder in Startposition sind, um nun bereits die 3. Klage vor dem Europäischen Gerichtshof einzubringen.

Wörtlich heißt es in der Presseerklärung:
„Mit dem Datenschutzrahmen EU-USA werden neue verbindliche Garantien eingeführt, um allen vom Europäischen Gerichtshof geäußerten Bedenken Rechnung zu tragen; so ist vorgesehen, dass der Zugang von US-Nachrichtendiensten zu EU-Daten auf ein notwendiges und verhältnismäßiges Maß beschränkt ist und ein Gericht zur Datenschutzüberprüfung (Data Protection Review Court, DPRC) geschaffen wird, zu dem Einzelpersonen in der EU Zugang haben.“

Das Problem ist nur – wie wir schon mehrmals berichtet haben (Links dazu am Ende des Beitrags) – dass die USA eine ganz andere Vorstellung von Datenschutz haben. Ganz besonders dann, wenn es sich um Daten von Nicht-Amerikaner handelt. Dann scheint es ganz normal zu sein, dass die diversen US-Geheimdienste von Firmen, aber auch den bekannten Datenkraken die Herausgabe von Daten verlangen, weil sie glauben, dass die Sicherheit des Landes bedroht sei.

Wir erinnern uns, dass der österreichische Datenschützer Max Schrems schon 2x erfolgreich derartige Abkommen juristisch bekämpfte, weil die USA andere Datenschutzvorstellungen haben. Daher hob der EUGH bereits das sogenannte „Privacy Shield-“ und davor das „Safe-Harbour-Abkommen“ aufgehoben. Die Richter bemängelten vor allem die weitreichenden Zugriffsmöglichkeiten von US-Geheimdiensten auf Daten von Europäern. Beiträge zum Nachlesen hier… und hier… und hier…

Worum geht es bei diesen EuGH-Urteilen?
Einfach erklärt ging es bei diesen Abkommen darum, dass bereits damals der EU-Kommission (also Beamten) von der US-Regierung zugesichert wurde, dass die „Zugriffe auf personenbezogene Daten von EU-Bürgern aus Gründen der nationalen Sicherheit „klaren Beschränkungen, Garantien und Aufsichtsmechanismen“ unterworfen werden (Nachzulesen auf Wikipedia, Link unten anbei)

Aber gleichzeitig sind amerikanische Unternehmen verpflichtet, aufgrund des USA PATRIOT Acts den US-Sicherheitsbehörden und Geheimdiensten Zugriff auf die in den Vereinigten Staaten gespeicherten Daten zu gewähren.

Dennoch erklärten bereits am 25. März 2022 EU-Kommissionspräsidentin Ursula von der Leyen und US-Präsident Joe Biden eine „grundsätzliche Einigung“ über eine weitere Privacy-Shield-Vereinbarung, ohne dass in den USA Überwachungsgesetze geändert wurden.

Max Schrems kritisierte sofort „dass die USA dem Wort verhältnismäßig eine andere Bedeutung beimessen würden als der EuGH. Außerdem stelle die Verletzung der Privatsphäre von Nicht-US-Bürgern kein Problem für die USA dar. Auch die vorgeschriebenen Rechtsbehelfe stimmen seiner Meinung nach nicht mit EU-Recht überein.“

Ja, es ist mühsam, wenn man als Unternehmen nicht weiß, wie man rechtskonform mit den USA zusammenarbeiten soll.
Natürlich ist durch diese beiden EuGH-Urteile große Rechtsunsicherheit beim Datentransfer zwischen den USA und der EU entstanden. Noch dazu, wo diese US-Datenkraken-Firmen fast Monopolartige Stellungen haben (Google, Amazon, Facebook, WhatsApp, Microsoft und und und). Manche sprachen in den letzten Jahren – seit der Aufhebung durch den EUGH – von einer „Hängepartie“.

Aber Fakt ist, wir stehen nun wieder vor der bedeutenden juristischen Frage: Kann ein staatliches Abkommen Grundrechte von Bürgern aushebeln? Datenschützer beantworten diese Fragen ganz eindeutig mit Nein. Und zweimal ist ihnen dabei der Europäische Gerichtshof bereits gefolgt und hat solche Vereinbarungen aufgehoben.

Doch wie soll man sich nun verhalten?
Sind jetzt Google und Co gar nicht mehr so böse und kann man die Produkte dieser US-Datenkraken nun wieder gedanken- und vor allem problemlos nutzen?

Nein. Hier rate ich – wie bisher – ganz bewusst ab. Seien Sie auch weiterhin vorsichtig!

Jeder kann Facebook, WhatsApp und Co auf ausschließlich privat genutzten Geräten nutzen, wenn er /sie das möchte.
Aber diese „sozialen“ Medien haben auf beruflichen Geräten nichts zu suchen.
Und dass man etwa Google Fonts oder Google Analytics keinesfalls nutzen sollte, haben wir bereits mehrmals berichtet. Etwa hier:
https://ivva.at/ds-behoerde-google-analytics-verstoesst-gegen-die-datenschutzgrundverordnung-nl-3-22/
https://ivva.at/google-fonts-aerger-kein-rasches-ende-in-sicht-nl-25b-22/

Zumal sich in den letzten Jahren der „Hängepartie“ alternative Produkte bzw. spezielle Anwendungen (etwa das Einbinden von Google Fonts auf dem eigenen Server) herauskristallisiert haben, um doch DSGVO-konform damit zu arbeiten.

Also vertrauen Sie nicht auf die Aussagen von Politiker und innerstaatlichen Abkommen, weil auch dieses Abkommen wird von Datenschützern bekämpft und die juristischen Folgen müssen dann wohl wieder die Firmen alleine tragen. Abmahnanwälte werden dafür sorgen…

Beste Grüße von Mag. Stephan Novotny und dem IVVA Team

Quellen und Links zum Weiterlesen:

Sollten Sie noch keinen Anwalt haben: Mag. Stephan Novotny, ein auf Versicherungs- und Datenschutzrecht spezialisierter Fachanwalt steht gerne zur Verfügung, für IVVA Mitglieder sogar zum Spezialpreis.